Connect with us

Multilingua

Sphos commenta la multa Zoetop analizzando rischi e buone prassi da seguire

Condividi questo contenuto

Tempo di lettura: 5 minuti. Il marchio di moda SHEIN multato di 1,9 milioni di dollari per aver mentito sulla violazione dei dati personali

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

La società cinese Zoetop, ex proprietaria dei popolarissimi marchi di “fast fashion” SHEIN e ROMWE, è stata multata dallo Stato di New York per 1.900.000 dollari. Come ha detto il procuratore generale Letitia James in una dichiarazione della scorsa settimana: Le deboli misure di sicurezza digitale di SHEIN e ROMWE hanno permesso agli hacker di rubare facilmente i dati personali dei consumatori. Come se ciò non fosse già abbastanza grave, la James ha proseguito affermando che: [I dati personali sono stati rubati e Zoetop ha cercato di insabbiare il tutto. Non proteggere i dati personali dei consumatori e mentire su questo non è di moda. SHEIN e ROMWE devono rafforzare le loro misure di sicurezza informatica per proteggere i consumatori da frodi e furti di identità. Francamente, siamo sorpresi che Zoetop (ora SHEIN Distribution Corporation negli Stati Uniti) se la sia cavata così bene, considerando le dimensioni, la ricchezza e la potenza del marchio dell’azienda, la sua apparente mancanza di precauzioni anche basilari che avrebbero potuto prevenire o ridurre il pericolo rappresentato dalla violazione e la sua continua disonestà nel gestire la violazione dopo che è stata resa nota.

La violazione scoperta da estranei

Secondo l’Ufficio del Procuratore generale di New York, Zoetop non si è nemmeno accorta da sola della violazione, avvenuta nel giugno 2018. Invece, il processore di pagamenti di Zoetop ha scoperto che l’azienda era stata violata, a seguito di segnalazioni di frode provenienti da due fonti: una società di carte di credito e una banca. La società di carte di credito si è imbattuta nei dati delle carte dei clienti di SHEIN in vendita su un forum clandestino, suggerendo che i dati erano stati acquisiti in blocco dall’azienda stessa o da uno dei suoi partner informatici. La banca ha identificato SHEIN (che si pronuncia “she in”, se non l’aveste ancora capito, e non “shine”) come il cosiddetto CPP nelle cronologie di pagamento di numerosi clienti frodati. CPP è l’abbreviazione di common point of purchase (punto di acquisto comune) e significa esattamente quello che dice: se 100 clienti segnalano indipendentemente una frode sulle loro carte, e se l’unico commerciante comune presso il quale tutti e 100 i clienti hanno recentemente effettuato pagamenti è la società X allora si ha una prova circostanziale che X è una probabile causa dell'”epidemia di frode”, nello stesso modo in cui l’epidemiologo britannico John Snow, che ha fatto scuola, ha ricondotto un’epidemia di colera a Londra nel 1854 a una pompa d’acqua inquinata in Broad Street, a Soho. Il lavoro di Snow ha contribuito a respingere l’idea che le malattie si diffondessero semplicemente attraverso l’aria viziata; ha stabilito la “teoria dei germi” come realtà medica e ha rivoluzionato il pensiero sulla salute pubblica. Ha anche mostrato come la misurazione e i test oggettivi potessero aiutare a collegare cause ed effetti, assicurando così che i futuri ricercatori non perdessero tempo a trovare spiegazioni impossibili e a cercare “soluzioni” inutili.

Non ha preso precauzioni

Non sorprende che l’azienda abbia scoperto la violazione di seconda mano, ma l’indagine di New York l’ha criticata per non essersi preoccupata di monitorare la sicurezza informatica, dato che “non ha eseguito scansioni regolari delle vulnerabilità esterne né ha monitorato o esaminato regolarmente i registri di audit per identificare gli incidenti di sicurezza”.

L’indagine ha anche riportato che Zoetop:

ha eseguito l’hashing delle password degli utenti in un modo considerato troppo facile da decifrare. A quanto pare, l’hashing delle password consisteva nel combinare la password dell’utente con un sale casuale a due cifre, seguito da un’iterazione di MD5. Secondo quanto riportato dagli appassionati di cracking di password, all’epoca un impianto di cracking standalone con 8 GPU e hardware del 2016 era in grado di eseguire 200.000.000.000 di MD5 al secondo (il sale di solito non aggiunge altro tempo di calcolo). Ciò equivale a provare quasi 20 quadrilioni di password al giorno utilizzando un solo computer speciale. (I tassi di cracking MD5 di oggi sono apparentemente da cinque a dieci volte più veloci di questo, utilizzando schede grafiche recenti). Registrava i dati in modo sconsiderato. Per le transazioni in cui si verificava un qualche tipo di errore, Zoetop salvava l’intera transazione in un registro di debug, includendo apparentemente tutti i dettagli della carta di credito (presumiamo che questo includa il codice di sicurezza, oltre al numero lungo e alla data di scadenza). Ma anche dopo aver saputo della violazione, l’azienda non ha cercato di scoprire dove potesse aver memorizzato questo tipo di dati di carte di pagamento illecite nei suoi sistemi.
Non si è preoccupata di elaborare un piano di risposta agli incidenti. L’azienda non solo non aveva un piano di risposta alla cybersicurezza prima della violazione, ma a quanto pare non si è preoccupata di elaborarne uno dopo, e l’indagine afferma che “non ha intrapreso azioni tempestive per proteggere molti dei clienti colpiti”. Ha subito un’infezione da spyware nel suo sistema di elaborazione dei pagamenti. Come spiega l’indagine, “qualsiasi esfiltrazione dei dati delle carte di pagamento sarebbe avvenuta intercettando i dati della carta presso il punto di acquisto”. Come si può immaginare, data la mancanza di un piano di risposta agli incidenti, l’azienda non è stata successivamente in grado di dire quanto il malware che ruba i dati abbia funzionato, anche se il fatto che i dati delle carte dei clienti siano apparsi sul dark web suggerisce che gli aggressori abbiano avuto successo. Non ha detto la verità
L’azienda è stata criticata anche per la disonestà con cui ha trattato i clienti dopo aver saputo la portata dell’attacco.

Ad esempio, l’azienda:

  • ha dichiarato che erano stati colpiti 6.420.000 utenti (quelli che avevano effettivamente effettuato ordini), pur sapendo che erano stati rubati 39.000.000 di record di account utente, comprese le password incautamente nascoste.
  • Ha dichiarato di aver contattato questi 6,42 milioni di utenti, mentre in realtà sono stati informati solo gli utenti di Canada, Stati Uniti ed Europa.
  • Ha detto ai clienti di non avere “alcuna prova che i dati della vostra carta di credito siano stati sottratti dai nostri sistemi”, nonostante due fonti avessero avvertito della violazione e avessero presentato prove che suggerivano esattamente questo.
  • L’azienda, a quanto pare, ha anche trascurato di dire che sapeva di aver subito un’infezione da malware che rubava i dati e che non era stata in grado di produrre prove che l’attacco non avesse portato a nulla. Inoltre, non ha rivelato che a volte salvava consapevolmente i dati completi delle carte di credito nei log di debug (almeno 27.295 volte, in effetti), ma non ha cercato di rintracciare quei file di log illegali nei suoi sistemi per vedere dove fossero finiti o chi potesse avervi accesso.

Come se non bastasse, l’indagine ha scoperto che l’azienda non era conforme agli standard PCI DSS (i suoi log di debug anomali ne erano la prova), le è stato ordinato di sottoporsi a un’indagine forense PCI, ma si è poi rifiutata di consentire agli investigatori l’accesso necessario per svolgere il loro lavoro. Come si legge nei documenti del tribunale, “ciononostante, nell’esame limitato che ha condotto, l’investigatore forense [qualificato PCI] ha trovato diverse aree in cui i sistemi di Zoetop non erano conformi agli standard PCI DSS”.
Forse la cosa peggiore è che, quando nel giugno 2020 l’azienda ha scoperto le password del suo sito web ROMWE in vendita sul dark web, e alla fine si è resa conto che questi dati erano stati probabilmente rubati durante la violazione del 2018 che aveva già cercato di nascondere, la risposta di Zoetop, per diversi mesi, è stata quella di presentare agli utenti colpiti un prompt di login che accusava le vittime dicendo: “La sua password ha un basso livello di sicurezza e potrebbe essere a rischio. Si prega di cambiare la password di accesso”.

Questo messaggio è stato successivamente modificato in una dichiarazione diversiva che diceva: “La tua password non è stata aggiornata da più di 365 giorni. Per la sua protezione, la preghiamo di aggiornarla ora”. Solo nel dicembre 2020, dopo che una seconda tranche di password in vendita è stata trovata sul dark web, portando apparentemente la parte ROMWE della violazione a più di 7.000.000 di account, l’azienda ha ammesso ai suoi clienti di essere stata coinvolta in quello che ha blandamente definito un “incidente di sicurezza dei dati”.

Cosa fare?

Sfortunatamente, la punizione in questo caso non sembra esercitare molta pressione sulle aziende “che si preoccupano della sicurezza informatica quando si può semplicemente pagare la multa?” affinché facciano la cosa giusta, sia prima che durante o dopo un incidente di sicurezza informatica.

Le sanzioni per questo tipo di comportamento dovrebbero essere più elevate?

Finché ci saranno aziende che sembreranno trattare le multe semplicemente come un costo aziendale da inserire in anticipo nel bilancio, le sanzioni finanziarie sono la strada giusta da percorrere?

Oppure alle aziende che subiscono violazioni di questo tipo, che cercano di ostacolare gli investigatori di terze parti e che poi nascondono ai loro clienti la verità completa su quanto è accaduto, dovrebbe essere semplicemente impedito di operare, per amore o per denaro?

Fonte

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Multilingua

Ucraina colpita dal quinto Wiper “SwiftSlicer”

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

L’Ucraina ha subito un nuovo attacco informatico da parte della Russia che ha coinvolto l’impiego di un wiper di dati basato su Golang, precedentemente non documentato, chiamato SwiftSlicer. ESET ha attribuito l’attacco a Sandworm, un gruppo di Stati-nazione collegato all’Unità militare 74455 della Direzione principale dell’intelligence dello Stato maggiore delle Forze armate della Federazione russa (GRU).

“Una volta eseguito, cancella le copie shadow, sovrascrive ricorsivamente i file situati in %CSIDL_SYSTEM%\driver, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS e altre unità non di sistema e poi riavvia il computer”, ha rivelato ESET in una serie di tweet.

Le sovrascritture vengono effettuate utilizzando sequenze di byte generate casualmente per riempire blocchi di 4.096 byte. L’intrusione è stata scoperta il 25 gennaio 2023, ha aggiunto la società slovacca di cybersicurezza. Sandworm, rintracciato anche con i moniker BlackEnergy, Electrum, Iridium, Iron Viking, TeleBots e Voodoo Bear, ha una storia di campagne informatiche dirompenti e distruttive che colpiscono organizzazioni in tutto il mondo almeno dal 2007.

La sofisticazione dell’attore della minaccia è evidenziata dalle sue molteplici catene di morte distinte, che comprendono un’ampia varietà di strumenti personalizzati come BlackEnergy, GreyEnergy, Industroyer, NotPetya, Olympic Destroyer, Exaramel e Cyclops Blink.

Solo nel 2022, in coincidenza con l’invasione militare dell’Ucraina da parte della Russia, Sandworm ha scatenato WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, Industroyer2, Prestige e RansomBoggs contro le infrastrutture critiche in Ucraina. “Se ci pensate, la crescita del malware wiper durante un conflitto non è certo una sorpresa”, ha dichiarato Geri Revay, ricercatore dei FortiGuard Labs di Fortinet, in un rapporto pubblicato questa settimana. “È difficile monetizzarlo. L’unico caso d’uso praticabile è la distruzione, il sabotaggio e la guerra informatica”.

La scoperta di SwiftSlicer evidenzia l’uso costante di varianti di malware wiper da parte del collettivo di avversari russi negli attacchi progettati per creare scompiglio in Ucraina.

Lo sviluppo arriva anche quando il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha collegato Sandworm a un recente attacco informatico, in gran parte fallito, all’agenzia di stampa nazionale Ukrinform. L’intrusione, che si sospetta sia stata effettuata non più tardi del 7 dicembre 2022, ha comportato l’utilizzo di cinque diversi programmi di cancellazione dei dati, ovvero CaddyWiper, ZeroWipe, SDelete, AwfulShred e BidSwipe, mirati ai sistemi Windows, Linux e FreeBSD. “È stato stabilito che la fase finale dell’attacco informatico è stata avviata il 17 gennaio 2023”, ha dichiarato il CERT-UA in un avviso. “Tuttavia, ha avuto un successo solo parziale, in particolare in relazione a diversi sistemi di archiviazione dati”.
Sandworm non è l’unico gruppo che ha messo gli occhi sull’Ucraina. Altri attori russi sponsorizzati dallo Stato, come APT29, COLDRIVER e Gamaredon, hanno attivamente preso di mira una serie di organizzazioni ucraine dall’inizio della guerra.

Prosegui la lettura

Multilingua

Medico paga 60.000 dollari in Bitcoin per ingaggiare sicari del dark web

Condividi questo contenuto

Tempo di lettura: 2 minuti. L’ex neonatologo è stato condannato a otto anni di carcere e gli è stato ordinato di pagare più di 25.000 dollari di restituzione e una multa di 100.000 dollari.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Ronald Craig Ilg, 56 anni, è stato condannato a otto anni di carcere per aver assoldato dei sicari sul dark web per aggredire e rapire le vittime. Il medico di Spokane, Washington, ha pagato 60.000 dollari in Bitcoin come compenso per i compiti che aveva chiesto ai sicari di svolgere. Questo non dovrebbe essere una sorpresa, dato che solo l’anno scorso il Dipartimento di Giustizia degli Stati Uniti ha accusato un cardiologo di aver sviluppato due pericolosi ceppi di ransomware: Thanos e Jigsaw v.2.

Il giudice distrettuale degli Stati Uniti William Fremming Nielsen ha condannato Ilg a 96 mesi di carcere, ordinandogli di pagare più di 25.000 dollari di restituzione e una multa di 100.000 dollari. Anche dopo il rilascio, Ilg sarà sorvegliato per tre anni. L’ex neonatologo ha usato l’anonimato del dark web per indirizzare presunti sicari ad aggredire le sue vittime; la prima è stata un’ex collega, anch’essa medico dell’area di Spokane. Ilg ha pagato ai sicari più di 2.000 dollari in Bitcoin e ha richiesto specificamente che le mani della vittima fossero rotte o comunque ferite in modo significativo. Ha anche chiesto una prova del completamento dell’incarico.

La seconda vittima era la moglie separata. Ha pagato ai criminali circa 60.000 dollari in Bitcoin per rapirla e iniettarle eroina in modo che fosse costretta a rinunciare alle procedure di divorzio. Ha anche promesso ai sicari un bonus se il compito fosse stato portato a termine con successo. Tuttavia, l’FBI è riuscita a intercettare le comunicazioni di Ilg sul dark web e a sventare i suoi piani. All’inizio dell’indagine, Ilg ha dichiarato falsamente di aver incaricato i sicari di uccidere lui, anziché le sue vittime. Ha anche tentato di convincere la testimone chiave a sposarlo per poter controllare la sua testimonianza in tribunale. Si è offerto di pagare le rette scolastiche dei figli di lei per frequentare la St. Aloysius Catholic School e la Gonzaga Preparatory School. Dopo essersi dichiarato colpevole dei suoi crimini, Ilg ha cercato di trarne profitto cercando “un accordo per un libro o un film”. Il giudice Nielsen ha descritto il comportamento di Ilg come “davvero egregio, e persino malvagio”, sottolineando l’ironia delle azioni di Ilg come medico.

“L’obiettivo di un medico nella vita è proteggere le persone, mantenerle in vita, e non fare passi evidenti per fare il contrario”, ha detto.

In un comunicato stampa del Dipartimento di Giustizia, Richard A. Collodi, agente speciale responsabile dell’ufficio di Seattle dell’FBI, ha dichiarato che “questo caso dimostra che nemmeno l’anonimato del dark web impedisce all’FBI di identificare e bloccare individui che sono intenzionati a intraprendere attività criminali”.

Prosegui la lettura

Multilingua

I server del gioco dell’oca vengono attaccati ogni giorno con attacchi DDoS

Condividi questo contenuto

Tempo di lettura: 2 minuti. Il social detective gratuito Goose Goose Duck, che ha recentemente battuto il record di Among Us per il numero di utenti simultanei nel gioco, è costantemente sotto attacco DDoS.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Gli sviluppatori hanno dichiarato di aver già ingaggiato specialisti di cybersicurezza di terze parti per aiutarli ad affrontare il problema. Vi ricordiamo che abbiamo anche scritto che la botnet Mirai RapperBot conduce attacchi DDoS ai server di gioco e che il progetto russo DDOSIA paga volontari per partecipare ad attacchi DDOS contro aziende occidentali. I media specializzati hanno anche riferito che è stato rilevato un attacco DDoS da 2,5 TB/sec mirato a un server Minecraft.

Sebbene Goose Goose Duck, creato da Gaggle Studios, sia stato rilasciato nell’ottobre 2021, per molto tempo gli utenti non l’hanno quasi notato. Solo alla fine del 2022, il gioco è diventato improvvisamente un vero e proprio successo, bissando e superando il successo di Among Us, di cui è, di fatto, un clone gratuito. Così, secondo SteamDB, il picco online di Among Us nel 2020 è stato di 447.476 giocatori, ma Paperino all’inizio di gennaio 2023 ha stabilito un record di 702.845 utenti simultanei nel gioco, che lo rende uno dei giochi più popolari su Steam.

Tuttavia, gli sviluppatori del gioco scrivono che negli ultimi due mesi i server di Goose Goose Duck sono stati costantemente sottoposti ad attacchi DDoS e questo è diventato un grosso problema. A causa degli attacchi, hanno iniziato a verificarsi regolarmente guasti e arresti dei servizi di gioco. Il 14 dicembre abbiamo [per la prima volta] annunciato pubblicamente di aver subito un attacco DDoS. Gli attacchi hanno avuto luogo prima e dopo quel giorno. Siamo sotto attacco da due mesi, ma non volevamo parlarne per non disturbare i giocatori.

“Pensavamo che forse gli attaccanti si sarebbero fermati se avessimo continuato a fornire un buon servizio ai giocatori. Ma non si sono fermati. Chi ci sta attaccando? Abbiamo diverse teorie, ma sarebbe irresponsabile parlarne pubblicamente. Qualsiasi attacco prolungato a un obiettivo è costoso, quindi gli aggressori hanno a disposizione molte risorse. È inoltre molto probabile che si tratti di più gruppi di attaccanti contemporaneamente”.

I creatori di Goose Goose Duck affermano che alla fine sono stati costretti ad assumere specialisti della sicurezza informatica di terze parti, che ora devono aiutare l’azienda a far fronte ai continui attacchi e a stabilizzare il funzionamento dei server di gioco. Chi sia stato coinvolto esattamente nella risoluzione del problema e quali misure siano state offerte agli sviluppatori dai cyber-specialisti ingaggiati non è ancora stato reso noto, poiché l’azienda “non vuole rivelare la strategia” e fornire ulteriori informazioni ai DDoSer.

Prosegui la lettura

Facebook

CYBERWARFARE

Multilingua22 ore fa

Ucraina colpita dal quinto Wiper “SwiftSlicer”

Tempo di lettura: 2 minuti. Condividi questo contenutoL’Ucraina ha subito un nuovo attacco informatico da parte della Russia che ha...

Notizie5 giorni fa

Killnet mette a sedere i siti web tedeschi

Tempo di lettura: 2 minuti. Condividi questo contenutoGli hacker attivisti russi hanno messo offline diversi siti web tedeschi mercoledì in...

Notizie6 giorni fa

Ex diplomatico: Cina spia i cittadini con frigoriferi, portatili e lampadine britannico

Tempo di lettura: < 1 minuto. Secondo un rapporto inviato al governo dall'ex diplomatico, la tecnologia "cavallo di Troia" rappresenta...

Notizie2 settimane fa

NoName057 offre ricompense finanziarie per partecipare agli attacchi DDoS

Tempo di lettura: 2 minuti. Ai volontari vengono offerte ricompense fino a 80.000 rubli per attacchi riusciti con il client...

Multilingua2 settimane fa

L’Ucraina propone la NATO della Guerra Cibernetica

Tempo di lettura: 2 minuti. Il principale funzionario ucraino per la sicurezza informatica ha proposto lo sviluppo di una "Cyber...

Inchieste2 settimane fa

NoName057(16) a Matrice Digitale: stiamo analizzando il perimetro cibernetico italiano

Tempo di lettura: 3 minuti. Esclusiva mondiale al gruppo di hacktivisti che hanno colpito diversi paesi europei tra cui l'Italia

Notizie2 settimane fa

NoName057 rivendica gli attacchi informatici ai siti web danesi

Tempo di lettura: < 1 minuto. Gli hacktivisti russi sostengono di aver attaccato la banca centrale danese, il ministero delle...

Notizie2 settimane fa

ESET svela l’attività di StrongPity: malevola con l’app Telegram troianizzata

Tempo di lettura: 3 minuti. Condividi questo contenutoI ricercatori ESET hanno identificato una campagna attiva del gruppo StrongPity APT che...

Notizie2 settimane fa

Il curioso caso delle capacità informatiche estoni

Tempo di lettura: 4 minuti. Condividi questo contenutoDutch Ruppersberger, un deputato degli Stati Uniti, una volta ha dovuto rispondere a...

Notizie3 settimane fa

APT Dark Pink prende di mira governi e militari nella regione APAC

Tempo di lettura: 2 minuti. Condividi questo contenutoLe organizzazioni governative e militari della regione Asia-Pacifico sono prese di mira da...

Truffe recenti

Truffe online1 giorno fa

Pacco e contropaccotto: Vinted consente truffa “Morada” ai danni dei suoi venditori

Tempo di lettura: 2 minuti. Altro venditore di 500 euro, la società ha rimborsato il criminale a migliaia di km...

Truffe online2 settimane fa

Malware trasmesso da Google Ads prosciuga l’intero portafoglio di criptovalute di un influencer NFT

Tempo di lettura: 2 minuti. Un link pubblicitario sponsorizzato su Google ha nascosto un malware che ha travasato migliaia di...

Notizie4 settimane fa

“Entra nell’Interpol” la nuova truffa sui social media che spopola in Sud Africa

Tempo di lettura: 2 minuti. L'Organizzazione internazionale di polizia criminale (Interpol) ha lanciato un allarme su una truffa online che...

DeFi2 mesi fa

Scandalo FTX, i genitori di Sam Bankman Fried sono indagati: confermata l’inchiesta di Matrice Digitale

Tempo di lettura: 2 minuti. Avrebbero speso i fondi societari per acquisti personali e sono il collante con le "coperture"...

Truffe online3 mesi fa

Sospettati di uno schema Ponzi arrestati in Grecia e Italia ricercati da INTERPOL

Tempo di lettura: 2 minuti. INTERPOL ha lanciato l'IFCACC all'inizio di quest'anno, per fornire una risposta globale coordinata contro la...

Truffe online3 mesi fa

Truffa del Trust Wallet PayPal

Tempo di lettura: 2 minuti. Scoperta da Trend Micro, la truffa che sfrutta il brand di PayPal, può essere così...

Truffe online3 mesi fa

Sospetto arrestato in relazione a una frode di investimento da un milione di euro

Tempo di lettura: 2 minuti. L'azione ha portato l'Europol a rilasciare consigli in tal senso.

Truffe online4 mesi fa

I truffatori e i disonesti al telefono: è possibile fermarli?

Tempo di lettura: 4 minuti. I consigli di Sophos e l'invito di Matrice Digitale a segnalarli al nostro modello

Truffe online4 mesi fa

Curriculum Online, la denuncia: CVfacile.com attiva abbonamenti nascosti

Tempo di lettura: 3 minuti. C'è anche il sito expressCV ed è stato già segnalato per illeciti.

Truffe online4 mesi fa

Truffa Vinted: spillati 195 euro grazie a un link falso di Subito

Tempo di lettura: 2 minuti. Altro utente truffato, ma le responsabilità non sono tutte della piattaforma.

Tendenza